Perubahan protokol aman 3D: memenuhi 3-D Secure 2.0


Tahun demi tahun, teknologi berkembang pesat dalam pencapaian dan kemampuannya. Dalam waktu dekat, protokol 3D Secure 2.0 yang diperbarui akan membawa keamanan online di industri pembayaran ke tingkat yang sama sekali baru. Protokol akan memberikan kesempatan untuk membangun saluran pertukaran data real-time yang aman, yang melaluinya lebih banyak data transaksi akan dikirimkan untuk otentikasi pembeli yang lebih akurat, kecepatan pembayaran akan meningkat, karena tidak semua transaksi akan melewati otentikasi dengan kata sandi, tetapi hanya beberapa di antaranya bagian. Mari kita lihat perubahan utama pada protokol baru dibandingkan dengan versi sebelumnya.

Apa itu 3D Secure?


3D Secure adalah protokol keamanan yang dikembangkan pada tahun 1999 dan bertujuan untuk mencegah penipuan penggunaan kartu kredit dengan memverifikasi keaslian pemegang kartu dalam transaksi yang tidak memerlukan kehadiran kartu secara fisik (operasi CNP). "3D" berarti "3 domain" di mana protokol bekerja dan yang mencakup domain penerbit (domain kartu bank penerbit), domain pengakuisisi (domain penjual dan bank tempat transfer uang) dan domain kompatibilitas (domain disediakan oleh pembayaran) Sistem dukungan protokol 3D Secure). Protokol dikembangkan dan dikelola oleh EMVCo, sebuah organisasi yang dimiliki bersama oleh merek-merek besar Visa, Mastercard, American Express, Discover, JCB dan UnionPay.

Versi pertama 3D Secure dirancang untuk meningkatkan kepercayaan konsumen dalam pembayaran online, yang telah berkontribusi pada pertumbuhan e-commerce. Untuk melindungi diri Anda dari transaksi penipuan, 3D Secure menambahkan langkah otentikasi lain untuk pembayaran online, yang memungkinkan outlet dan bank memastikan bahwa pemegang kartu melakukan pembayaran. Saat menggunakan 3D Secure 1, sistem menampilkan jendela sembulan atau bingkai yang disematkan, yang mengharuskan pengguna untuk memasukkan kata sandi sehingga bank dapat mengautentikasi pengguna. Namun, kredensial entitas pembuat jendela popup tidak dapat diautentikasi.


Untuk bisnis, manfaat 3D Secure jelas: meminta informasi tambahan memberikan tingkat perlindungan tambahan terhadap penipuan, memastikan bahwa Anda menerima pembayaran kartu hanya dari pelanggan tepercaya. Juga, dalam hal menggunakan 3D Secure, apa yang disebut "Liability Shift" terjadi, di mana tanggung jawab atas penipuan juga berpindah dari penjual ke penerbit kartu. Dengan demikian, jika 3D Secure tidak diterapkan, maka ketika pemegang kartu memperselisihkan transaksi penipuan:

  • Penjual (pedagang) bertanggung jawab atas transaksi.
  • Penjual (pedagang) harus mengembalikan uang pembeli (tolak bayar)

Tetapi, jika penjual menerapkan 3D Secure, tanggung jawab untuk transaksi penipuan beralih ke penerbit (bank yang mengeluarkan kartu).

Apa saja perubahan utama pada protokol 3D Secure 2.0?


Lebih dari 17 tahun telah berlalu sejak pengembangan 3D Secure 1. Meskipun industri pembayaran di sebagian besar negara menerima metode otentikasi ini dengan cukup baik, kebutuhan untuk membuat protokol baru diakui dengan mempertimbangkan persyaratan pasar saat ini dan di masa mendatang, termasuk penambahan dukungan untuk otentikasi berdasarkan perangkat seluler dan integrasi dompet digital. Selain itu, tercatat bahwa penggunaan 3D Secure 1 memiliki beberapa kelemahan:

  • langkah tambahan yang diperlukan untuk menyelesaikan pembayaran meningkatkan kompleksitas proses penempatan pesanan dan dapat menyebabkan fakta bahwa pelanggan menolak untuk membeli.
  • sejumlah bank masih meminta pemegang kartu mereka untuk membuat dan mengingat kata sandi statis mereka sendiri untuk menyelesaikan verifikasi 3D Secure. Kata sandi ini mudah dilupakan, yang juga dapat menyebabkan kemungkinan lebih tinggi untuk menolak pembelian.
  • Dampak negatif pada pengalaman pengguna (UX) terutama terlihat pada aplikasi seluler. Ketika Visa pertama kali memperkenalkan standar 3D Secure, komputer pribadi adalah satu-satunya saluran yang tersedia bagi konsumen untuk berbelanja online. Di perangkat seluler, menggunakan 3D Secure dapat mengarahkan klien dari aplikasi mereka sendiri ke situs web bank, yang tidak dioptimalkan untuk perangkat seluler.

Mempertimbangkan poin rasa sakit utama dari 3D Secure, EMVCo baru-baru ini merilis versi baru dari protokol. EMV 3-D Secure (3D Secure 2 atau 3DS2) mengatasi banyak kekurangan 3D Secure 1 dan memberikan manfaat utama berikut:

1. Dukungan Perangkat & Saluran yang Fleksibel.

Ini memberikan interaksi yang lebih lancar dan lebih konsisten dengan pengguna melalui beberapa saluran pembayaran, termasuk pembayaran di browser ponsel, pembayaran dalam aplikasi dan pembayaran melalui dompet digital.

2. Peningkatan Pengalaman Pengguna.

Memberikan pedagang kesempatan untuk mengintegrasikan proses otentikasi dengan lebih baik ke dalam proses pembelian, memberikan pemegang kartu dengan otentikasi yang cepat, mudah dan nyaman dengan tingkat keamanan yang tinggi. Tidak seperti kata sandi statis, 3D Secure 2 menggunakan metode otentikasi dinamis seperti biometrik dan otentikasi berbasis token. Juga, 3D Secure 2 akan memungkinkan perusahaan untuk menanamkan aliran panggilan langsung ke aliran pembayaran web dan seluler mereka - tanpa perlu pengalihan. Dengan menggunakan SDK seluler baru, perusahaan akan dapat menerapkan aliran mereka sendiri dalam aplikasi mereka, yang tidak lagi mengharuskan pelanggan untuk beralih ke aliran melalui peramban untuk menyelesaikan transaksi.

3D Secure 1 (panduan 3D Secure 2 Stripe):

3D Secure 2 (panduan 3D Secure 2 Stripe):

3. Peningkatan Pertukaran Data untuk Mengelola Penipuan dan Mengurangi Gesekan (Peningkatan pertukaran data untuk memerangi penipuan dan mengurangi hambatan). Otentikasi berbasis risiko (RBA, Otentikasi Berbasis Risiko). Otentikasi tanpa gesekan.

Frictionless Flow memungkinkan emiten untuk menyetujui transaksi tanpa memerlukan entri data manual dari pemegang kartu. Ini dicapai melalui apa yang dikenal sebagai otentikasi berbasis risiko (RBA). RBA bekerja dengan mengumpulkan satu set data tentang pemegang kartu selama transaksi dan mengirimkannya ke bank penerbit dan Access Control Server (ACS), yang kemudian membandingkan data yang dikumpulkan dengan data transaksi pemegang kartu sebelumnya (historis) untuk menampilkan nilai risiko penipuan yang sesuai dengan yang baru. transaksi. 3D Secure 2 akan memungkinkan perusahaan dan penyedia pembayaran mereka untuk mengirim lebih dari 100 elemen data dengan aman untuk setiap transaksi ke bank pemegang kartu. Ini termasuk data terkait pembayaran, seperti alamat pengiriman, serta data kontekstual, seperti pengidentifikasi perangkat klien atau riwayat transaksi sebelumnya.



Bank pemegang kartu dapat menggunakan informasi ini untuk menilai tingkat risiko transaksi dan memilih jawaban yang sesuai. Jika nilai risiko penipuan di bawah nilai ambang yang telah ditentukan, aliran Frictionless diterapkan. Dengan kata lain, jika risiko penipuan cukup rendah, bank penerbit tidak akan meminta verifikasi tambahan dari pemegang kartu dan menganggap bahwa pemegang kartu telah lulus otentikasi. Ini menghilangkan langkah verifikasi manual yang selalu diperlukan dari pemegang kartu di 3D Secure 1:

1) Jika ada cukup data sehingga bank dapat percaya bahwa pemegang kartu nyata melakukan pembelian, transaksi memenuhi persyaratan aliran tanpa gesekan, dan otentikasi diselesaikan tanpa mempengaruhi interaksi pengguna - pemegang kartu tidak pernah melihat tanda-tanda 3D Secure telah diterapkan. Dengan kata lain, jika risiko penipuan cukup rendah, bank penerbit tidak akan meminta verifikasi tambahan dari pemegang kartu dan menganggap bahwa pemegang kartu telah lulus otentikasi. Ini menghilangkan langkah verifikasi manual yang selalu diperlukan dari pemegang kartu di 3D Secure 1.

2) Dalam kasus ketika nilai risiko penipuan berada di atas ambang batas yang telah ditentukan, misalnya, bank memutuskan bahwa ia membutuhkan bukti tambahan, transaksi dilakukan dalam mode Tantangan, dan klien diminta untuk memberikan data tambahan untuk memverifikasi keaslian pembayaran.


4. Perubahan tanggung jawab penjual (pedagang) jika terjadi penipuan

Perbedaan signifikan dalam PSD2 juga termasuk perubahan dalam tanggung jawab penjual (pedagang) dalam hal terjadi penipuan. Emiten adalah penerima manfaat yang jelas dari pertukaran data yang lebih luas yang diperlukan untuk 3DS 2.0, karena mereka bertanggung jawab atas semua tolak bayar. Semakin banyak data yang mereka miliki, semakin akurat mereka dapat menilai risiko suatu transaksi.

Namun, pedagang juga mendapat manfaat, terutama jika mereka belum mengumpulkan data transaksi yang cukup yang akan diperlukan untuk berpartisipasi dalam 3DS, karena mereka dapat menggunakan data ini untuk meningkatkan upaya mereka sendiri untuk mendeteksi penipuan. Tetapi bahkan jika penjual sudah memiliki program pencegahan penipuan yang canggih, orang tidak boleh kehilangan tingkat perlindungan tambahan yang diberikan oleh penerbit yang melakukan penilaian risiko sendiri. Penyedia ACS yang digunakan oleh penerbit biasanya memiliki akses ke sumber data penipuan yang tidak tersedia untuk masing-masing penjual, yang sering memungkinkan mereka untuk memberikan penilaian risiko kecurangan yang lebih andal.

Kapan sistem pembayaran mendukung 3-D Secure 2.0?


Ketersediaan luas 3D Secure 2 akan tergantung pada masing-masing penerbit kartu yang mendukung standar baru. Diharapkan bahwa bank pertama akan mulai mendukung 3D Secure 2 untuk pemegang kartu mereka pada awal 2019, kemungkinan implementasi yang lebih luas akan bertahap dan memakan waktu beberapa bulan. Misalnya, platform Visa 3DS 2.0 sekarang tersedia dan siap untuk menangani permintaan otentikasi 3DS 2.0: Penyedia Server ACS dan 3DS harus lulus pengujian dengan EMVCo dan Visa sebelum berpartisipasi dalam 2.0. Penyedia dapat memulai pengujian dengan Visa hanya setelah menerima surat konfirmasi yang mengonfirmasi keberhasilan penyelesaian pengujian dengan EMVCo. Agar pihak yang berkepentingan memiliki cukup waktu untuk menerapkan 3-D Secure, set lengkap aturan program tidak akan berlaku hingga tanggal aktivasi program yang ditunjukkan di bawah ini:

  • April 2019: berlaku untuk Eropa
  • Agustus 2019: Tanggal aktivasi untuk Kanada, Amerika Latin, dan Amerika Serikat.
  • April 2020: tanggal aktivasi untuk Asia Pasifik dan Timur Tengah dan Afrika.

Juga diasumsikan bahwa 3D Secure 1 dan 3D Secure 2 akan hidup berdampingan setidaknya sampai tahun 2020.

Untuk bisnis Eropa, berlakunya peraturan baru pada September 2019 yang dikenal sebagai Strong Customer Authentication (SCA), yang akan berlaku untuk pembayaran online di Wilayah Ekonomi Eropa (EEA), di mana bank pemegang kartu dan penyedia layanan pembayaran berada di EEA, menjadikan 3D Secure 2 semakin penting. Karena aturan baru akan membutuhkan lebih banyak otentikasi untuk diterapkan pada pembayaran Eropa, 3D Secure 2 akan menawarkan UX (pengalaman pengguna) terbaik untuk meminimalkan dampak pada konversi situs.

Meskipun 3D Secure 2 akan menjadi metode utama untuk mematuhi pembayaran kartu SCA, aliran Frictionless tidak diharapkan dianggap sebagai bentuk otentikasi klien yang kuat. Ini berarti bahwa setelah SCA beroperasi di Eropa, aliran Frictionless hanya dapat digunakan untuk pembayaran yang dikecualikan (sementara semua pembayaran yang membutuhkan SCA perlu diautentikasi menggunakan aliran Tantangan).

Source: https://habr.com/ru/post/id445394/


All Articles